風險漏洞 處處小心

Grammarly漏洞可能泄露用戶隱私文檔

Google Project Zero項目團隊發現Grammarly 公司所屬Chrome擴展中存在安全漏洞，該漏洞能向所有網站曝光用戶的令牌信息，意味著任意網站能夠訪問用戶的文檔數據。Grammarly公司已修復該漏洞。

Amazon Key漏洞致攝像頭無法正常使用

研究人員發現Amazon Key漏洞可能導致用戶攝像頭和門鎖無法正常使用，攻擊者可能通過從遠程計算機對網絡執行DDoS攻擊來使攝像頭無法正常使用。

CODESYS WebVisu產品現高危漏洞

Istury IOT研究員在3S-Smart Software Solutions的CODESYS WebVisu產品的Web服務器組件中發現一個基于堆棧的緩沖區溢出漏洞，允許用戶在Web瀏覽器中查看可編程邏輯控制器（PLC）的人機界面（HMI）。

漏洞

Hotspot Shield VPN產品被曝安全漏洞

安全研究人員發現名為Hotspot Shield的VPN產品存在一個嚴重安全漏洞，該漏洞允許未經身份驗證的請求訪問本地Web服務器托管的JSONP端點，可能會泄露用戶敏感信息（如Wi-Fi網絡名稱、真實IP地址等）。

思科VPN高危漏洞多款產品受影響

思科發布一個補丁程序，旨在修復影響ASA設備的一個嚴重漏洞（CVE-2018-0101），該漏洞駐留在設備的SSL VPN功能中，可能會允許未經身份驗證的攻擊者在受影響的設備上遠程執行代碼。

Adobe Flash曝零日漏洞

零日漏洞存在于Adobe Flash Player 28.0.0.161之前的版本中，能讓攻擊者通過網絡或郵件傳播包含惡意Flash內容的Office文檔，獲得系統控制權、執行任意代碼。微軟已發布一個編號KB4074595的新補丁。

思科修復ASA設備嚴重漏洞

在思科發布補丁后，研究人員發現該漏洞（CVE-2018-0101）還會引起拒絕服務，可能會對ASA平臺造成一定影響。思科于近期再次發布了一個安全更新。

Oracle的Micros POS機存高危漏洞

ERPScan團隊分析了Oracle公司Micros POS機中存在的高風險安全漏洞，該漏洞允許攻擊者在未經驗證的情況下對服務器數據庫進行訪問和讀寫，以獲得用戶名和密碼，致使公司的整個業務數據都受到威脅。

Lazarus組織正在進行網絡釣魚攻擊活動

McAfee研究人員發現網絡犯罪組織Lazarus正進行網絡釣魚攻擊活動，該活動以比特幣為目標，使用了具有長期影響力的復雜惡意軟件，用于長期的數據收集。

挖礦蠕蟲通過永恒之藍傳播高級加密礦工

安全公司CrowdStrike發現了一款名為WannaMine的新型Monero加密挖掘蠕蟲，其利用“永恒之藍”漏洞進行傳播，WannaMine使用憑證收割機Mimikatz來收集用戶憑據，從而達到橫向移動的目的。CrowdStrike公司稱，目前一些礦業的日常運營已經受到WannaMine的影響。

Chrome難抵惡意下載攻擊

研究人員發現“技術支持詐騙”攻擊也可作用在Chrome瀏覽器，攻擊者利用瀏覽器的Blob和msSaveblob接口，讓瀏覽器下載成千上萬個文件，使瀏覽器在數秒內失去響應。

僵尸網絡Smominru挖掘門羅幣

安全研究人員發現一個名為Smominru的新的全球僵尸網絡，瞄準Windows系統，利用“永恒之藍”漏洞來傳播門羅幣挖礦。

利用下載網站分發Mac加密貨幣礦工

SentinelOne公司發現，黑客利用熱門軟件下載網站MacUpdate向Mac用戶分發名為 OSX.CreativeUpdate的加密貨幣挖掘礦工，通過劫持用戶設備的CPU秘密竊取門羅幣。

BeeToken郵件列表被攻擊

加密貨幣初創企業BeeToken被黑客入侵，攻擊者采用釣魚攻擊并成功盜走了部分Ethereum。該公司警告用戶謹慎使用電子郵件和Telegram軟件。

針對Linux系統發起的SSH暴力攻擊

GoSecure公司研究人員發現黑客組織正在對使用弱密碼保護的Linux系統發起SSH暴力攻擊，以部署一個名為Chaos的后門。據悉，該后門可能會被野外攻擊者用于全球范圍內Linux服務器。GoSecure公司建議受感染的主機從一個可靠的備份中重新安裝，并提供一組新的憑據。

勒索軟件GandCrab勒索達世幣

LMNTRIX公司發現名為GandCrab的新型勒索軟件，該勒索軟件通過感染受害用戶系統以獲得達世幣（DASH）贖金，有黑客利用RIG及GrandSoft等開發工具包來分發該勒索軟件。

以上信息分別來源于“HackerNews”、“安全客”